Online Privacy Act 2026：米国データコンプライアンスの新たな定義

2026年3月19日、ゾーイ・ロフグレン下院議員（カリフォルニア州第18区）は、H.R. 8014、2026年オンラインプライバシー法を米国下院に提出しました。全6章151ページに及ぶ本法案は、今世紀に下院に提出された中で最も包括的な連邦プライバシー提案であり、州ごとのプライバシー法やAI規制が急増する年の半ばに提出されたことで、2028年までに米国企業のデータガバナンスがどのような姿になるべきかという議論を一新しました。

主なポイント

1. H.R. 8014は、これまでに提案された中で最も包括的な米国連邦プライバシー基準を確立。 ゾーイ・ロフグレン議員が2026年3月19日に151ページに及ぶ2026年オンラインプライバシー法を提出。本法案は、個人の権利、企業のデータ義務、データセキュリティ義務、侵害通知要件、そして規則制定と執行権限を持つ専任のデジタルプライバシー庁を創設します。
2. 法案はコンプライアンスの軸を「通知と選択」から「データ最小化」へ転換。 対象事業者は、要求された製品やサービスの提供に合理的に必要な範囲を超えて個人情報を収集することが禁止され、正当な理由なくその情報を再利用することも禁じられます。これは米国のプライバシー実務20年の構造的転換です。
3. 「消滅権」がデータ保持の経済性を再構築。 本法案は、個人が自らの個人データを対象事業者がどのくらいの期間保持できるかを決定する権利を付与します。データ最小化義務と組み合わさることで、企業はデータアーキテクチャに保持ガバナンスを組み込む必要があり、単なるポリシー文書で管理する従来の方法からの転換を迫られます。
4. 執行体制はFTCの現状を大幅に上回る規模へ。 デジタルプライバシー庁は、FTCの一部プライバシー機能を吸収し、規則制定権限、民事制裁の執行、州司法長官やカリフォルニア・プライバシー保護庁と並行して運用されます。さらに私人による訴訟権も加わり、執行体制が完成します。
5. 成立は不透明だが、企業の対応は待ったなし。 現在法案は下院エネルギー・商業委員会にあり、共同提出者は1名のみ。過去の類似法案も進展しませんでした。しかし、メリーランド州のオンラインデータプライバシー法や今後施行されるコロラドAI法など、州レベルで同様の要件がすでに収束しつつあります。今からガバナンス基盤を構築する組織は、H.R. 8014が成立しなくても後の改修コストを抑えられます。

成立の行方は依然不透明です。法案は1名の提出者のみで下院エネルギー・商業委員会に係属し、さらに司法委員会や科学・宇宙・技術委員会への付託も予定されています。過去にも2019年、2021年、2023年にオンラインプライバシー法が提出されましたが、いずれも進展しませんでした。2026年に異なるのは、取り巻く規制環境です。メリーランド州のオンラインデータプライバシー法はすでに施行され、コネチカット州はプライバシー法を強化、コロラドAI法は2026年施行予定、カリフォルニア・プライバシー保護庁の自動意思決定技術規則も2027年1月から施行されます。連邦基準が成立しなくても、州ごとに規制の最低ラインは上昇しており、H.R. 8014はその方向性を示しています。

オンラインプライバシー法が実際に実現すること

本法案は、GDPRに近い権利ベースの連邦プライバシーフレームワークを構築し、従来の米国分野別プライバシー法とは大きく異なる内容となっています。第1章では、アクセス、訂正、削除、データポータビリティ、重要な自動化意思決定の人によるレビュー、そして企業がデータをどのくらい保持できるかをユーザーが決定できる「消滅権」など、個人の権利を規定しています。第2章では、対象事業者に対してデータ最小化、従業員・委託先のアクセス制限、通信内容の開示禁止、同意取得時の「ダークパターン」禁止、積極的な通知と同意取得義務などを課しています。

第3章では、デジタルプライバシー庁という新たな独立連邦機関を創設し、規則制定権限、調査権限、専用予算を持たせます。同庁はFTCの一部プライバシー機能を吸収し、執行、苦情対応、規則発行を担います。第4章は執行に関する規定で、行政調査、民事制裁、州司法長官による執行、私人による訴訟権、内部告発者保護、特定状況下での刑事告発を含みます。第5章は、より強力な州法を優先し、連邦法による先取りを行わないことを明記。第6章では、NISTとNSFにプライバシーリスク管理ガイダンスの策定を指示しています。

この構造は意図的です。HIPAA、GLBA、COPPAのような分野別法を限定的な連邦基準で補完するのではなく、H.R. 8014は包括的な基準を設定し、分野別・州法を追加レイヤーとして残します。このアーキテクチャは、GDPRと各国法の関係に近く、従来の米国連邦プライバシー提案とは一線を画します。

データ最小化要件が企業のデータ運用を再構築

本法案のデータ最小化規定は、第201条に集約されており、企業コンプライアンスにとって最も大きな運用上の変化をもたらします。対象事業者は、ユーザーが要求した製品やサービスの提供に合理的に必要な範囲を超えて個人情報を収集・処理することが禁止され、特定条件がない限り他目的での処理も禁じられます。これは、プライバシーポリシーに開示されていればいかなるデータ収集も事実上許容されてきた米国の「通知と選択」パラダイムからの構造的転換です。

最小化体制下では、コンプライアンス上の問いが「この処理を開示したか？」から「この処理はユーザーが要求した製品・サービスに本当に必要か？」へと変わります。これは多くの企業データ運用にとってはるかに難しい問いです。顧客行動分析、マーケティングのパーソナライズ、製品開発のテレメトリ、AIトレーニングデータセット、サードパーティとのデータ共有など、すべてに必要性の根拠が求められますが、多くは精査に耐えないでしょう。

2026年タレス・データ脅威レポートによれば、自社データの所在を完全に把握している組織は34%に過ぎず、場所の把握は収集・処理の必要性評価の前提条件です。民事制裁や私人訴訟権によって強制される最小化要件は、データ収集目的と運用上の必要性をデータセットごとにマッピングしたデータインベントリの構築を即座に求めます。

さらに、従業員・委託先のアクセス制限も運用上の変化を加速させます。第202条では、対象事業者に対し、従業員の職務に必要な範囲に限定して個人情報や通信内容への内部アクセスを制限することを義務付けています。これは、分析・エンジニアリング・製品チームに広範なデータアクセスを許可し、ポリシーで濫用を防ごうとする従来の企業慣行に対する強い牽制となります。

「消滅権」はポリシーだけでなくデータアーキテクチャを変える

本法案が創設する「消滅権」—個人が自らの個人データの保持期間を決定できる権利—は、権利規定の形をしたアーキテクチャ要件です。従来、保持ガバナンスはポリシー文書や定期削除ジョブ、アーカイブ階層の移行で管理されてきましたが、私人訴訟で執行可能な個人の権利となり、かつ継続保持には明確な必要性が求められることで、保持はデータ主体・データセットごとの運用課題へと変化します。

実務上は、企業のデータアーキテクチャがユーザー主導の保持に対応する必要があります。個人データを集約・変換・非正規化・複製するデータパイプラインは、削除シグナルを下流に伝播し、各段階での削除確認が求められます。過去の行動データに依存する分析システムは、集計統計を損なうことなく選択的削除要求に対応しなければなりません。AIトレーニングデータセットは、削除要求がモデル更新に反映されるよう出所追跡が必要です。

これはGDPR第17条の消去権に似ていますが、H.R. 8014はより積極的に位置付けています。GDPRの消去権が特定状況下で適用されるのに対し、消滅権は一般的なユーザー選択として適用されます。ユーザー主導の保持期間を運用上守れない組織は、私人訴訟による大規模なリスクに直面します。これは、十分な予算を持つデジタルプライバシー庁が存在しない場合でも、最も強いコンプライアンス圧力を生む執行メカニズムです。

自動意思決定とAIガバナンス規定が米国AI規制の未来を示唆

本法案の「重要な自動化意思決定」に対する人によるレビュー要件は、コロラドAI法、2026年1月施行のテキサス責任あるAIガバナンス法、カリフォルニアAI透明性法など、州レベルで進むAI特化法の流れと並びます。連邦の枠組みが重要なのは、コロラドやEU AI法が対象とする高リスクカテゴリーを超え、個人に実質的影響を与えるあらゆる自動化意思決定に人によるレビュー権を適用する点です。

データ最小化義務と組み合わさることで、AIの学習・運用に直接影響します。学習データは最小化要件を満たさなければなりません。モデル運用時には、影響の大きい意思決定に人によるレビュー経路を提供する必要があります。保持権は学習データや、個人データを含むモデル出力にも適用される可能性があります。暗黙のモデルは、AIガバナンスが独立した規制分野ではなく、AIユースケースに適用されるデータガバナンス義務であるということです。

この枠組みは、2024年12月のEDPB意見「個人データで学習したAIモデルは自動的に匿名とはみなされない」と、Future of Privacy Forumの2026年評価で言及された2025年11月のドイツ裁判所判決（モデルを知的財産目的で「コピー」とみなした）とも一致します。各国で収束しつつあるのは、AIシステムはデータシステムであり、その学習データは個人データであり、ガバナンス義務はデータガバナンス義務であるという認識です。

デジタルプライバシー庁と拡張された執行体制

本法案第3章は、FTCの現行プライバシー執行権限を大幅に上回る権限を持つデジタルプライバシー庁（DPA）を創設します。DPAは専用予算、規則制定権限、公民権局、内部告発者執行メカニズム、苦情管理、州規制当局との連携を持ちます。執行権限には行政調査、民事制裁、刑事告発の付託、連邦裁判所での訴訟権が含まれます。

第4章の私人訴訟権は、DPAのリソース水準に関わらず、最も実効性の高いコンプライアンス行動を生み出す執行手段です。プライバシー法における私人訴訟権は、行政執行よりも積極的な組織対応を促す傾向があり、原告弁護士が請求を集約し大規模に訴訟を起こすためです。カリフォルニアCCPAのデータ侵害に関する私人訴訟権は、実際に大きな訴訟圧力を生み出しており、H.R. 8014の私人訴訟権が個人の権利や主要義務違反にも拡大されれば、その圧力はプライバシーライフサイクル全体に及びます。

州司法長官による執行や、カリフォルニア・プライバシー保護庁のような州規制当局への明示的な権限付与により、連邦機関のキャパシティに依存しない執行体制となっています。その累積効果として、米国のプライバシー執行はFTCの約40人規模のプライバシー部門から、専任の連邦機関、私人訴訟権、州司法長官、州規制当局が並行して運用される体制へと拡大します。これは、DLA Piper GDPR罰金・データ侵害調査によれば、2024年・2025年ともに12億ユーロ超の罰金が科された欧州のGDPR執行インフラと同等の規模です。

H.R. 8014の有無にかかわらず規制の最低ラインは上昇

本法案の成立見通しは現議会では厳しい状況です。第119議会では包括的なプライバシー法案が進展せず、共同提出者も1名のみ。2024年のAmerican Privacy Rights Actも超党派交渉の末に停滞しました。しかし、州レベルの動きにより連邦問題は徐々に学術的なものになりつつあります。OneTrust 2026年分析は、現時点での州プライバシー法の状況をまとめています。ニュージャージー、テネシー、ミネソタのプライバシー法が施行され、コネチカット州は2025年改正で適用基準を引き下げ機微データ保護を拡大、メリーランド州オンラインデータプライバシー法は2025年10月1日施行、カリフォルニアでは2025年に初のCCPA重大罰金が科されました。

州レベルのAI法も新たなレイヤーを加えています。2026年のコロラドAI法、2026年1月のテキサス責任あるAIガバナンス法、2026年のカリフォルニアAI透明性法に加え、COPPA改正による児童プライバシー法強化やニューヨーク・バーモントの年齢適正設計法も進行中です。

その累積効果として、米国消費者向けに大規模サービスを展開する組織は、H.R. 8014が連邦法で規定しようとする義務の多くを既に負っています。メリーランド・コネチカット・コロラドのデータ最小化、コロラド・テキサス・カリフォルニアの自動意思決定ガバナンス、20州以上でのアクセス・削除権、ほとんどの包括的州枠組みにおける機微データ保護強化などです。この多州パッチワークに対応するためのコンプライアンス基盤を構築する組織は、実質的にH.R. 8014や将来の連邦プライバシー法に備えていることになります。

アーキテクチャとしてのデータ層ガバナンス

H.R. 8014の具体的な義務—最小化、目的限定、保持ガバナンス、アクセス権履行、自動意思決定監督、従業員アクセス制御、侵害通知、監査証跡—はいずれもアーキテクチャ上の特徴を持っています。それは、データ自体にガバナンス属性を持たせ、コピー・変換・分析・AI学習を経ても維持される場合のみ執行可能であるという点です。意図を文書化しただけのポリシーレイヤーのコンプライアンスでは不十分です。各アプリケーションがガバナンスルールを守ることに依存するアプリケーションレイヤーのコンプライアンスでは、統合ポイントで隙間が生じます。アプリケーションやワークフローに関係なくデータにガバナンス属性を付与するデータ層コンプライアンスこそが、スケールするアーキテクチャです。

Kiteworksは、メール、ファイル共有、マネージドファイル転送、セキュアフォーム、API、AI連携など、データ層のコントロールプレーンとして機能します。いくつかの機能はH.R. 8014の要件に直接対応しています。Kiteworks Data Policy Engineは、すべてのデータ操作に対して属性ベースアクセス制御を適用し、第202条の従業員・委託先アクセス制限にも対応。データ主権・ジオフェンシング制御は、H.R. 8014の枠組みと重なる法域要件をサポートします。リアルタイムSIEM連携を備えた包括的な監査ログは、すべてのアクセス・処理・開示イベントの改ざん防止記録を生成し、DPA調査や私人訴訟防御の証拠基盤となります。Kiteworks Compliant AI機能は、AIエージェントのアクセスにもガバナンスを拡張し、人によるアクセスと同じ属性ベースポリシー、同意トラッキング、監査記録を適用します。

このアーキテクチャの主張は、データ層ガバナンスが個別法の理解を不要にするということではありません。むしろ、法改正に合わせて柔軟に適応できる統一的なコントロールを生み出すという点にあります。ガバナンスがデータ層コントロール（タグ付きデータ、属性ベースアクセス、改ざん防止ログ、統合監査証跡）として実装されていれば、法改正時も再構築不要で適応できます。逆に、アプリケーションロジックやポリシー文書に依存する場合は、法改正のたびにコンプライアンスを作り直す必要があります。

2027年議会前にコンプライアンスプログラムが取るべき行動

第一に、州ごとのプライバシー法パッチワークを運用上の基準と見なしてください。Kiteworks Data Security and Compliance Risk: 2026 Forecast Reportでは、セキュアなデータ交換のために5つ以上のツールを運用している組織は、体系的に高いコンプライアンスリスクに直面していると指摘しています。統一ガバナンスによる集約は、メリーランド、コネチカット、コロラド、カリフォルニア、そして将来の連邦基準への対応を簡素化します。

第二に、最小化を証明できるデータインベントリを構築してください。H.R. 8014や後継法案で私人訴訟権付きのデータ最小化が課されれば、証拠上の問いは「各データセットの収集がユーザー要求の製品・サービスに本当に必要かを証明できるか」に変わります。これを即時に証明できない組織は、基準強化時に高額な改修コストを強いられます。

第三に、データ層での保持ガバナンスを実装し、アクセス請求対応基盤を大規模化に備えて整備してください。消滅権は、パイプライン全体での削除伝播、システム横断での削除確認、監査用の削除証跡を要求します。既存州法下でも自動・大量のアクセス請求が増加しており、CJEUの2026年判決は一律拒否が正当化できないことを明確にしました。

第四に、AIシステムにもデータガバナンスを拡張してください。義務が2026年のコロラドAI法、2027年のCPPA ADMT規則、あるいは将来のH.R. 8014由来であっても、AIガバナンスはデータガバナンス義務となりつつあります。モデル学習は最小化要件を満たし、個人に影響する自動意思決定には人によるレビュー経路を提供し、学習データやモデル出力も保持・削除権を遵守する必要があります。

第五に、監査証跡の生成をインシデント対応ではなく中核機能としてください。どの執行機関—DPA、FTC、州司法長官、CPPA、私人原告—が最終的に成熟しても、警告と制裁の分かれ目は組織が提出できる証拠の質です。改ざん防止監査ログ、構造化されたコンプライアンスレポート、データチャネル横断の一元的なポリシー執行が、その証拠を生み出すコントロールです。

2026年オンラインプライバシー法は成立するかもしれませんし、停滞するかもしれませんし、2027年や2028年に別の枠組みに置き換えられるかもしれません。しかし、規制の方向性はこれらのシナリオを通じて一貫しています。本法案を「州パッチワークがすでに到達しつつある姿」「将来の連邦基準が明文化する内容」のプレビューと捉える組織は、法制化を待つ組織よりもはるかに有利な立場に立てるでしょう。